Integrare Microsoft Entra ID con SAP Cloud Platform Identity Authentication

Completato

L'integrazione di SAP Cloud Platform Identity Authentication con Microsoft Entra ID offre i vantaggi seguenti:

• È possibile controllare in Microsoft Entra ID chi ha accesso a SAP Cloud Platform Identity Authentication.
• Consente agli utenti di accedere automaticamente a SAP Cloud Platform Identity Authentication con gli account Microsoft Entra.
• È possibile gestire gli account in un'unica posizione centrale: il portale di Azure.

Aggiungere SAP Cloud Platform Identity Authentication dalla raccolta

Per configurare l'integrazione di SAP Cloud Platform Identity Authentication in Microsoft Entra ID, è necessario aggiungere prima di tutto SAP Cloud Platform Identity Authentication dalla raccolta di applicazioni Microsoft Entra all'elenco di app SaaS gestite.

Configurare e testare l'accesso Single Sign-On basato su Microsoft Entra ID

Successivamente, è necessario configurare e testare l'accesso Single Sign-On basato su Microsoft Entra ID seguendo questa procedura:

1. Configurare l'accesso Single Sign-On di Microsoft Entra per consentire agli utenti di usare questa funzionalità.
2. Configurare l'accesso Single Sign-On per SAP Cloud Platform Identity Authentication per configurare le impostazioni di Single Sign-On lato applicazione.
3. Assegnare gli utenti di Microsoft Entra a SAP Cloud Platform Identity Authentication.

Configurare l'accesso Single Sign-On di Microsoft Entra

1. Nel portale di Azure, nella pagina di integrazione dell'applicazione SAP Cloud Platform Identity Authentication selezionare Single Sign-On.

2. Nella pagina Selezionare un metodo di accesso Single Sign-On, selezionare la modalità SAML/WS-Fed per abilitare il Single Sign-On.

3. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona Modifica per aprire la finestra di dialogo Configurazione SAML di base.

4. Nella sezione Configurazione SAML di base:

   • Per configurare la modalità avviata da IDP, specificare l'identificatore del tenant IAS di SAP Cloud Platform (ID entità) e l'URL di risposta corrispondente (URL del servizio consumer di asserzione).
   • Per configurare l'applicazione in modalità avviata da SP, selezionare Impostare URL aggiuntivi e specificare l'URL di accesso.

Per ottenere questi valori, è possibile contattare il team di supporto di SAP Cloud Platform Identity Authentication Client.

L'applicazione SAP Cloud Platform Identity Authentication prevede le asserzioni SAML in un formato specifico. Configurare le attestazioni rilevanti per questa applicazione, tra cui nome, cognome, indirizzo di posta elettronica, nome e ID utente univoco. È possibile gestire i valori di questi attributi dalla sezione Attributi utente nella pagina di integrazione dell'applicazione.

Configurare l'accesso Single Sign-On per SAP Cloud Platform Identity Authentication

Per configurare l'SSO per l'applicazione, passare alla console di amministrazione di SAP Cloud Platform Identity Authentication. In Identity Providers (Provider di identità) scegliere il riquadro Corporate Identity Providers (Provider di identità aziendali). Scegliere il pulsante Aggiungi per creare un provider di identità aziendale Microsoft Entra. In SAML 2.0 scegliere SAML 2.0 Configuration (Configurazione SAML 2.0).

Caricare il file XML di metadati di Microsoft Entra o configurare manualmente i campi seguenti:

• Name: ID entità del provider di identità aziendale.
• Single Sign-On Endpoint URL: l'URL dell'endpoint di Single Sign-On del provider di identità che riceve le richieste di autenticazione. Per Binding, scegliere quello che corrisponde al rispettivo endpoint di Single Sign-On.
• Single Logout Endpoint URL: URL dell'endpoint del punto di disconnessione singolo del provider di identità che riceve i messaggi di disconnessione. Per Binding (Binding), scegliere quello che corrisponde al rispettivo endpoint del punto di disconnessione singolo.
• Signing Certificate: il certificato con codifica base64 usato dal provider di identità per la firma digitale dei messaggi del protocollo SAML inviati a Identity Authentication.

Assegnare gli utenti di Microsoft Entra

1. Nel portale di Azure selezionare Applicazioni aziendali, quindi Tutte le applicazioni e infine SAP Cloud Platform Identity Authentication.

2. Nell'elenco delle applicazioni selezionare SAP Cloud Platform Identity Authentication.

3. Nel portale di Azure selezionare Utenti e gruppi.

4. Selezionare il pulsante Aggiungi utente, quindi selezionare gli utenti e i gruppi che si intende assegnare all'applicazione nella finestra di dialogo Aggiungi assegnazione.

5. Se si prevede un valore di ruolo nell'asserzione SAML, nella finestra di dialogo Seleziona ruolo selezionare il ruolo appropriato per l'utente dall'elenco e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata. Nella finestra di dialogo Aggiungi assegnazione selezionare il pulsante Assegna.

   Nota

   Non è necessario creare un utente in SAP Cloud Platform Identity Authentication. Gli utenti che si trovano nell'archivio utenti di Microsoft Entra possono usare la funzionalità Single Sign-On. SAP Cloud Platform Identity Authentication supporta l'opzione di federazione delle identità. Questa opzione consente all'applicazione di controllare se gli utenti autenticati dal provider di identità aziendale sono presenti nell'archivio utenti di SAP Cloud Platform Identity Authentication. Per impostazione predefinita l'opzione di federazione delle identità è disabilitata. Se la federazione delle identità è abilitata, solo gli utenti che vengono importati in SAP Cloud Platform Identity Authentication sono in grado di accedere all'applicazione.

6. Per verificare il risultato, selezionare il riquadro di SAP Cloud Platform Identity Authentication nel pannello di accesso. Si dovrebbe poter accedere automaticamente a SAP Cloud Platform Identity Authentication per cui si è configurato l'SSO.